Política de privacidad — Breathly
Última actualización: mayo 2026.
Breathly está diseñada con privacidad por defecto. Esta política explica qué datos manejamos, dónde viven, qué hacemos (y qué no hacemos) con ellos, y cuáles son tus derechos bajo el Reglamento General de Protección de Datos (RGPD, UE 2016/679) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Resumen en una frase
Tus datos viven en tu móvil. Si activas la sincronización opcional, viajan cifrados a un servidor en la Unión Europea y solo tú puedes verlos.
1. Responsable del tratamiento
| Titular | Pau Berenguer Labella (persona física, autónomo) |
|---|---|
| NIF | 48058647D |
| Domicilio | Calle Monasterio de Sigena 7, 22520 Fraga, Huesca, España |
| hello@breathly.me | |
| Teléfono | +34 640 89 30 30 |
No estamos obligados a designar un Delegado de Protección de Datos (DPO) en los términos del art. 37 RGPD por nuestra dimensión y la naturaleza no sistemática del tratamiento. Para cualquier asunto relacionado con privacidad, escribe a hello@breathly.me.
2. Qué datos recogemos y con qué finalidad
| Categoría | Finalidad | Base jurídica | Conservación |
|---|---|---|---|
| Identificación: email, nombre opcional, foto opcional | Crear y autenticar tu cuenta | Ejecución del contrato (art. 6.1.b) | Hasta solicitud de borrado |
| Configuración: apps controladas, tipo y duración de pausas | Prestar el servicio | Ejecución del contrato (art. 6.1.b) | Mientras la cuenta esté activa |
| Eventos de uso: pausa mostrada, decisión, duración | Generar estadísticas y mejorar la app | Interés legítimo (art. 6.1.f) | 24 meses |
| Identificador interno: user_id (UUID) | Vincular tus datos sincronizados | Ejecución del contrato (art. 6.1.b) | Hasta el borrado |
| Estado de suscripción (RevenueCat) | Habilitar funciones de pago | Ejecución del contrato (art. 6.1.b) | Hasta el borrado |
| Comunicaciones transaccionales | Bienvenida, recuperación, cambios de email | Ejecución del contrato (art. 6.1.b) | 12 meses tras el último envío |
3. Qué NO recogemos
- No leemos tus mensajes, fotos, contactos, ubicación ni contenido de las apps que monitorizas.
- No registramos qué viste dentro de Instagram, TikTok, etc. Solo el nombre del paquete (
packageName) o dominio web. - No vendemos datos a terceros.
- No usamos identificadores publicitarios (IDFA, AAID).
- No realizamos perfilado automatizado con efectos jurídicos.
- No transmitimos datos fuera del Espacio Económico Europeo salvo para los servicios de Apple y Google Sign-In si decides usarlo.
4. Dónde viven tus datos
- Por defecto (modo local): en tu dispositivo, en almacenamiento cifrado del sistema operativo (Keychain en iOS, EncryptedSharedPreferences en Android).
- Si activas sincronización: en la base de datos PostgreSQL alojada por Supabase Inc. en su región de la UE (Frankfurt, Alemania). Cada fila se identifica con tu
user_idy solo es accesible para tu sesión gracias a Row Level Security (RLS).
5. Encargados del tratamiento (subencargados)
Compartimos datos estrictamente necesarios con los siguientes proveedores que actúan como encargados del tratamiento bajo contrato (art. 28 RGPD):
| Proveedor | Función | Ubicación | Garantías |
|---|---|---|---|
| Supabase Inc. | Base de datos, autenticación, edge functions | UE (Frankfurt) | DPA firmado, certificación SOC 2 |
| RevenueCat Inc. | Validación de suscripciones | EE. UU. | CCT UE-EE. UU., DPF Framework |
| Resend Inc. | Envío de correos transaccionales | EE. UU. con tránsito UE | CCT UE-EE. UU., DPF Framework |
| Apple Inc. | Distribución, Sign in with Apple, App Store | UE / EE. UU. | DPF Framework, CCT |
| Google LLC | Google Sign-In (si lo usas) | UE / EE. UU. | DPF Framework, CCT |
Las transferencias internacionales de datos a EE. UU. se amparan en el EU-U.S. Data Privacy Framework (decisión de adecuación de la Comisión Europea de 10 de julio de 2023) o en Cláusulas Contractuales Tipo aprobadas por la Comisión.
6. Permisos del sistema
- iOS — Family Controls (Screen Time API): necesario para mostrarte la pausa cuando abres una app vigilada. Apple gestiona la autorización; puedes revocarla desde Ajustes → Tiempo de uso.
- iOS — Notificaciones: para recordatorios opcionales de tu rutina.
- iOS — Cámara y Fotos (opcional): para elegir foto de perfil.
- iOS — Música: para silenciar audio durante las pausas.
- iOS — Contactos (opcional): para invitar a tus contactos a Breathly. No leemos los contactos sin tu acción explícita.
- Android — Servicio de accesibilidad: detecta el
packageNamede la app que abres, sin leer su contenido. - Android — Mostrar sobre otras apps: para abrir la pausa encima de la app vigilada.
- Android — Acceso al uso: opcional, para estadísticas más precisas.
7. Menores
Breathly está dirigida a personas mayores de 13 años. Si tienes entre 13 y 14 años y resides en España, necesitas el consentimiento previo de un progenitor o tutor legal (art. 7 LOPDGDD). Si descubrimos haber recogido datos de un menor sin el consentimiento adecuado, los eliminaremos sin demora.
8. Tus derechos (arts. 15 a 22 RGPD)
Tienes derecho a:
- Acceso: obtener confirmación de si tratamos tus datos y, en su caso, una copia.
- Rectificación: corregir datos inexactos.
- Supresión ("derecho al olvido"): borrar tus datos. Puedes hacerlo directamente desde Ajustes → Eliminar cuenta. La eliminación es inmediata y borra también los datos del servidor.
- Limitación del tratamiento.
- Oposición al tratamiento basado en interés legítimo.
- Portabilidad: recibir tus datos en formato estructurado JSON. Solicítalo por email.
- No ser objeto de decisiones automatizadas con efecto jurídico (no realizamos ninguna).
Cómo ejercerlos
- Dentro de la app: borrado inmediato desde Ajustes → Eliminar cuenta.
- Por email: escribe a hello@breathly.me indicando el derecho que quieres ejercer y adjuntando copia de un documento de identidad. Atendemos en menos de 30 días (art. 12 RGPD).
Reclamación ante la AEPD
Si consideras que el tratamiento no es conforme a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos:
- Web: www.aepd.es
- Sede electrónica: sedeagpd.gob.es
- Dirección: C/ Jorge Juan, 6, 28001 Madrid
9. Tu derecho a borrar (procedimiento técnico)
Desde Ajustes → Eliminar cuenta se desencadena el siguiente proceso automatizado:
- Si iniciaste sesión con Sign in with Apple, llamamos a la API de Apple para revocar tu
refresh_token. - Borramos tu
user_idde Supabase Auth, lo que en cascada eliminaprofiles,goals,blocked_targets,sessions,streaksy tu avatar en Storage. - Cerramos la sesión local y limpiamos las cachés cifradas del dispositivo.
La eliminación es irreversible.
10. Pagos
Las suscripciones se gestionan a través de Apple (App Store) y, en el futuro, Google (Play Store), con verificación técnica de RevenueCat. No vemos tu tarjeta en ningún momento. Solo recibimos un identificador anónimo de RevenueCat que indica si tu suscripción Pro está activa.
11. Seguridad
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
- Row Level Security en Supabase: solo tú puedes leer tu fila.
- Acceso al panel de administración con autenticación multifactor.
- Contraseñas almacenadas con hashing (bcrypt vía Supabase Auth).
- Revisión de dependencias y privacy manifest según las exigencias de Apple.
Ningún sistema es 100 % seguro. Si detectas una vulnerabilidad, contáctanos en hello@breathly.me — agradecemos la divulgación responsable.
12. Cookies y tecnologías similares
La aplicación móvil no usa cookies. El sitio web breathly.me puede usar cookies estrictamente necesarias para mostrar el contenido. No usamos cookies de seguimiento, analítica de terceros ni publicidad.
13. Cambios en esta política
Si actualizamos esta política, notificaremos los cambios sustanciales dentro de la app y por email (si tienes cuenta) con al menos 30 días de antelación. La fecha de "Última actualización" en la cabecera siempre refleja la versión vigente.
14. Contacto
hello@breathly.me — para cualquier duda, solicitud de derechos o incidencia de privacidad.
Dirección postal: Calle Monasterio de Sigena 7, 22520 Fraga, Huesca, España.